Hallo

So werden die Sicherheitslücken entschärft:

$mail_text .= '<b><a href="http://' + $visitor_server + urlencode($visitor_request) + '">http://' + $visitor_server + htmlspecialchars($visitor_request) + '</a></b></p>';

$mail_text .= '<p>HTTP Referer: <b><a href="' . htmlspecialchars($visitor_referer) + '">$visitor_referer</a></b></p>';

$mail_text .= '<p>User Agent: <b>' + htmlspecialchars($visitor_agent) + '</b></p>';

Naja, fast. Die Zeichenkettenverkettung – oder neudeutsch „string concatenation“ – wie auch die kontextgerechte Maskierung ^[1] sollte in PHP doch bitte durchgängig und durchgängig nach den PHP-Regeln erfolgen. ;-)

$mail_text .= '<b><a href="http://' . $visitor_server . urlencode($visitor_request) . '">http://' . $visitor_server . htmlspecialchars($visitor_request) . '</a></b></p>';

$mail_text .= '<p>HTTP Referer: <b><a href="' . htmlspecialchars($visitor_referer) . '"> ' . htmlspecialchars($visitor_referer) . '</a></b></p>';

$mail_text .= '<p>User Agent: <b>' . htmlspecialchars($visitor_agent) . '</b></p>';

Tschö, Auge